- Web应用安全威胁与防治
- 王文君 李建蒙编著
- 2068字
- 2020-08-28 17:55:13
序2
2011年的秋天,我应邀在北京国际会议中心举行的OWASP亚洲峰会上做了《XSS检测防范技术与实例研究》演讲,在介绍存储型和反射型跨站脚本的时候,我写了下面一段小诗:
你点,或者不点,蠕虫就在那里,不增不减。
你看,或者不看,跨站就在那里,不来不去。
默然 相逢
寂静 悲怆
会后,电子工业出版社的毕宁老师找到我,问我是否能写一本关于OWASP Top 10的书籍。根据我自身的经验,现在许多IT软件公司在开发软件的时候都采用了敏捷开发,功能导向非常严重。产品经理在背后催呀催,IT开发者在前面追呀追,很多软件产品根本没有将安全作为一个验收标准,这样导致交付客户使用后,经常会发生一些安全问题,然后再进行修改,成本非常高,当时我就想,如果能写这么一本书,提高广大IT开发者、测试者的安全意识,使得在项目需求分析以及开发的时候就能将安全考虑进去,岂不是很好?于是就爽快地答应了。从北京回来以后,与也参加此次会议的李建蒙先生就这事聊了聊,一拍即合,决定由两人一起创作这本书。
本书结构
本书分5篇,读者可以通过浏览目录来了解全书的大体纲要。
第1篇引子,在这篇里,读者通过阅读4个小故事,可以对常见的网络安全事件有个基本了解,增强从事IT事业的自豪感,甚至可以学着做出我们IT人员的“禅师体”,在笑声中搞定小清新。
第2篇基础篇,万丈高楼平地起,这篇主要介绍了一些最基本的Web应用技术的概念,如http、https、Cookie、Session等,以及一些OWASP的基本知识,如风险评估、Top 10、ESAPI等。
第3篇工具篇,工欲善其事,必先利其器,从事IT安全行业,没有一些得力的小工具是万万不行的。本篇介绍了最常见的Apache Web服务器、各种主流浏览器及调试工具、一些流行的渗透测试工具及扫描工具,最后介绍了一些常见的漏洞学习网站供读者进行学习试验。
第4篇攻防篇,这是本书最主要的内容,根据提出问题、分析问题和解决问题三部曲,详细而全面地介绍了OWASP Top 10,每一章的最后还附有checklist,以便读者方便地进行查询。
第5篇安全设计和编码十大原则,作为本书的结尾部分,这篇主要介绍了我们做安全设计和编码时最常见的十大原则,提纲挈领。
致谢
感谢毕宁老师,正是你的努力,本书才得以与广大读者见面,以后有机会我一定要亲自弹上一首古筝曲向你致谢。
感谢出版社参与本书编审的老师,我想对你们说,一路泥泞,只为山花灿烂。
感谢本书的另一作者李建蒙,我要告诉你,我是如此的幸运能遇到你,与你的合作真心愉快。
感谢我的经理李维纲先生,谢谢你对我的工作的理解和支持,正是你的谆谆教导让我大胆地走出去,因此我才能开阔自己的眼界,才能有本书的诞生,同时也感谢你百忙之中抽空为本书写序。
感谢我的好朋友许屹,在我有小小得意的时候,你能给我中肯的建议让我更冷静地思考,在我失意的时候,你总能出现在我的面前给我最最及时而贴切的安慰让我勇于面对。有友如此,夫复何求?
感谢HP PPM所有的同事们,正是你们如此地信任我和给我这个机会,我才有机会做这些知识积累,才有本书的面世。他们包括但不限于:陈萍、高陈、何强威、汪燕锋、任智超、方逸东、Etienne、夏琴娴、周琴、丁晨、吴留坡、吴韬青、严峰、董欢欢、任君平、赵敏、黄健、李祥青、李文锦、陆纯奇、於良伟、宋立平、黄严,等等(我这里不一一列举所有PPMer名字了)。我想到了两年前我们组去阳澄湖吃蟹的时候,我写下的那个标语:“菊黄蟹肥,阳澄农庄。巅峰之队,我为伊狂。”有的时候我一个人走在路上,想到你们每个人的欢声笑语,想到你们每个人的聪明才智,暗自佩服。我要对你们说,能和你们一起工作是我的荣幸。因为我知道,无论我做什么,我的背后都有你们给我支持。同时也感谢过去在PPM工作过的同事对我的帮助,他们包含但不限于Vikram Matharoo、Sophia Gu、Imran Tusneem、Narayan Mandaleeka、Youjin Zhu、Subir Parulekar、顾兵、Vadim Filanovsky、金央真、陆由、朱启敏、郭亚峰等。
感谢HP Software上海的领导黄晓辉、欧阳杰子、朱征宇、金卫国、蒋镒珍、谢黎等一直以来对我的关心和指导,鼓励我一直进步。
I would like to show my greatest appreciation to Tomer Gershoni, the Chief Information and Security Officer for HP Hybrid & Cloud. I can't say thank you enough for your tremendous support and help in dealing with PPM SaaS security issues. I'm looking forward to going on collaboration in the near future.
I want to express my sincere gratitude to Asaf Barkan, CTO of HP SPM product unit, for providing a very constructive suggestion and guidance to my research about Two Factor Authentication as a Service (2FAaaS), you're definitely the security expert that everyone wants to be.
感谢新浪微博的夏玉明、Success Factor的吴宇、携程旅行网的袁劲松和上海测评中心的何勇亮、网易的沈明星,你们给了我很多有用的建议,和你们聊天真是人生的一大乐事。
感谢黑客老鹰万涛、上海银基胡绍勇、金山软件程冲、上海交大施勇给本书写的书评,你们的鼓励是我继续前进的动力。
感谢OWASP中国的同仁们,正是你们提供了一个如此轻松良好的平台,我才得以有机会写作这本书,他们包含但不限于:陈亮、Rip、宋国徽、袁明坤、付奎、Neil、Ivy、刘永波、Frank、郭涛等。
感谢我的父母,正是他们含辛茹苦地将我养大,教会我做人的道理。
感谢我家里那位最可爱的王洁怡小姑娘,爸爸写书的时候很忙,不能每周都带你出去玩,你也谅解我,其实爸爸最大的希望就是你能健康快乐地成长,你永远在我内心最柔弱的地方。
最后感谢我的妻子,12年前,我们在闵科相遇,我还书生年少,你仍白衣如雪。感谢你多年如一日地对我的照顾、呵护和默默的支持。一生痴绝处,无梦回兰坪。
邮箱:shanda.wang@gmail.com
微博:http://weibo.com/sanderwang
Blog:http://blog.sina.com.cn/app4sec
王文君
2012年7月于上海